O tym, że podłączając pamięci ze złączem USB do komputera, należy mieć się na baczności przed potencjalnie niebezpiecznymi plikami, wiedzą już chyba wszyscy. Jednak nie każdy jest świadomy, że odpowiednio spreparowane urządzenia USB mogą także podłączać się do systemu jako klawiatura i z miejsca przekazywać komputerowi sygnały naciśnięć w klawisze.
Zależnie od systemu operacyjnego za pomocą kilku emulowanych naciśnięć klawiszy można zdyskredytować system i na przykład zainfekować go trojanem. Da się także emulować działanie myszy. Inaczej niż w przypadku podłączenia pamięci masowej ze złączem USB, przy podłączeniu klawiatury zwykle nie pojawia się okno dialogowe, które pyta użytkownika o zgodę. Często użytkownik w ogóle nie ma pojęcia o tym, że spreparowane urządzenie USB melduje się w systemie jako tak zwany Human Interface Device (HID). W systemie Windows na krótko pojawia się jeszcze wyskakujące okno, ale w systemie GNU/Linux można się o tym dowiedzieć, jedynie przeglądając systemowe raporty zdarzeń.
Do tej pory napastnicy do takich ataków wykorzystywali płyty mikrokontrolerów z obsługą USB, np. Teensy USB Development Board – ten sprzęt może być stosowany także do hakowania konsoli PS3. Podczas zakończonej właśnie konferencji Black Hat specjaliści od zabezpieczeń Angelos Stavrou i Zhaohui Wang pokazali, w jaki sposób można zdyskredytować komputer nawet bez specjalnego sprzętu. W tym celu eksperci po prostu zmanipulowali stos USB aparatu z Androidem, która po podłączeniu do komputera meldowała się jako klawiatura.
Stavrou i Wang na razie nie upublicznili stworzonego oprogramowania. Dla płyt Teensy już od dawna istnieją zestawy narzędzi do programowania i wypełniania bufora specjalną zawartością. Na przykład Social Engineering Toolkit współpracuje z frameworkiem do exploitów Metasploit, aby za pomocą urządzenia USB otworzyć widoczną w sieci interaktywną powłokę administratora na docelowym systemie.
Pomysł spreparowanych urządzeń USB narodził się przed kilkoma laty jako żart. Phantom Keystroker miał być psikusem, który doprowadzał kolegów albo najbliższych do szewskiej pasji za pomocą przypadkowo emulowanych ruchów myszy albo danych wpisywanych przez emulowaną klawiaturę. Jednak jego producent, firma ThinkGeek, jednoznacznie twierdzi, że Phantom Keystroker V2 nigdy nie był w stanie emulować naciśnięć lewego przycisku myszy ani klawisza Enter, dlatego też nie mógł zaszkodzić systemowi.
wydanie internetowe www.heise-online.pl